I Controlli di servizio VPC possono migliorare la tua capacità di ridurre il rischio di esfiltrazione di dati dai servizi Google Cloud. Puoi utilizzare Controlli di servizio VPC per creare perimetri di servizio che aiutano a proteggere le risorse e i dati dei servizi che specifichi esplicitamente.
Per aggiungere il servizio Looker (Google Cloud core) a un perimetro di servizio dei Controlli di servizio VPC, segui le istruzioni su come creare un perimetro di servizio nella pagina della documentazione Creare un perimetro di servizio e seleziona API Looker (Google Cloud core) nella finestra di dialogo Specifica i servizi da limitare. Per saperne di più sull'utilizzo dei Controlli di servizio VPC, consulta la pagina della documentazione Panoramica dei Controlli di servizio VPC.
Controlli di servizio VPC supporta le istanze di Looker (Google Cloud core) che soddisfano due criteri:
- Le versioni dell'istanza devono essere Enterprise o Embed.
- Le configurazioni di rete dell'istanza devono utilizzare solo l'IP privato
Ruoli obbligatori
Per comprendere i ruoli IAM richiesti per configurare i Controlli di servizio VPC, visita la pagina Controllo dell'accesso con IAM nella documentazione relativa ai Controlli di servizio VPC.
Rimozione della route predefinita
Quando un'istanza di Looker (Google Cloud core) viene creata all'interno di un progetto Google Cloud che si trova all'interno di un perimetro dei Controlli di servizio VPC o in un progetto che viene aggiunto a un perimetro dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet.
Per rimuovere il percorso predefinito a internet, seleziona una delle seguenti opzioni:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Sostituisci NETWORK con la rete VPC della tua istanza di Looker (Google Cloud core).
Per ulteriori informazioni, visita la pagina della documentazione gcloud services vpc-peeringsenable-vpc-service-controls.
REST
Metodo HTTP e URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corpo JSON della richiesta:
{
"consumerNetwork": NETWORK
}
Sostituisci NETWORK con la rete VPC della tua istanza di Looker (Google Cloud core).
Per saperne di più, visita la pagina della documentazione Metodo: services.enableVpcServiceControls.
Connessione a risorse o servizi esterni al perimetro dei Controlli di servizio VPC
Per connetterti a un'altra risorsa o a un altro servizio Google Cloud, potresti dover configurare delle regole in entrata e in uscita se il progetto in cui si trova la risorsa si trova al di fuori del perimetro dei Controlli di servizio VPC.
Per informazioni sull'accesso ad altre risorse esterne, segui le istruzioni per il tipo di risorsa a cui vuoi connetterti nella pagina della documentazione Networking IP privato con Looker (Google Cloud core).
Aggiunta di chiavi CMEK a un perimetro
A volte, un'istanza di Looker (Google Cloud core) abilitata con chiavi di crittografia gestite dal cliente (CMEK) ha la chiave Cloud KMS ospitata in un altro progetto Google Cloud. Per questo scenario, quando abiliti i Controlli di servizio VPC, devi aggiungere al perimetro di sicurezza il progetto di hosting della chiave KMS.
Che cosa succede dopo?
- Connetti Looker (Google Cloud core) al tuo database
- Configura l'istanza di Looker (Google Cloud core)